《笑傲缸湖》相信有用開蘋果產品嘅朋友仔手中都會有一個Apple ID,作為用家之
一,盈盈都覺得呢個ID設計係幾方便,一個ID就可以喺所有嘅蘋果產品上面通用,真係啱曬
好似盈盈呢種成日唔記得ID同密碼嘅人。最近蘋果就話,想啟動Apple ID登陸第三方
嘅保護隱私機制,容許Apple ID註冊第三方應用程序帳戶,不過印度嘅漏洞研究人員B
havuk就發現當中有嚴重嘅漏洞。
Bhavuk喺上個月就同咗蘋果安全團隊報告。佢話喺服務器通過Apple ID登陸
進行用戶身份驗證嗰陣,可以生成JSON Web令牌(JWT),依個令牌當中就包含咗第
三方應用程序發來確認登陸用戶身份嘅機密信息。但係蘋果有要求用戶發起請求前要登陸帳號,
不過就無驗證係唔係同一個人操作。咁樣嘅操作就有機會畀黑客借機呃Apple服務器生成有
效嘅JWT,從而獲得用戶嘅機密資料。
而最可怕之處在於,JWT可以用嚟請求Apple嘅任何電子郵件ID,並且用Appl
e公鑰驗證獲取嘅令牌簽名後,就可以登錄。換句話講,黑客可以通過鏈接獲取任何Email
ID並且通過訪問權限偽造JWT,進而訪問受害者帳戶。咁樣黑客分分鐘就可以完全盜用你
個Apple ID。
俗話都講話「知錯能改,善莫大焉」,蘋果團隊證實咗的確有呢個漏洞後,就立刻對漏洞進
行修復。並喺自己公司嘅服務器到進行調查,搵下有無因為呢個漏洞喺過去畀影響或者破壞嘅帳
戶。除此之外,發現呢個巨大漏洞嘅Bhavuk都獲得蘋果足足十萬美金嘅獎金。真係聽到都
令人好葡萄啊,各位fans不妨都挖一下蘋果嘅漏洞,可能下一個攞到豐厚獎金嘅人係你都話
唔定呢!《任盈盈》
《編者按》本欄搜羅即市傳聞,惟消息未經證實,《經濟通》亦不保證內容之準確性。
etnet榮獲HKEX Awards 2023 「最佳表現證券數據供應商」大獎► 了解詳情